Questo il testo della norma in questione, da cui credo si debba partire:

«Art. 110-bis.  (Riutilizzo  dei  dati  per  finalità  di ricerca
scientifica o per scopi statistici). - 1. Nell'ambito delle finalità
di ricerca  scientifica  ovvero  per  scopi  statistici può  essere
autorizzato dal Garante il riutilizzo dei dati, anche sensibili,  ad
esclusione di quelli genetici, a condizione che siano adottate  forme
preventive di minimizzazione e di anonimizzazione dei dati  ritenute
idonee a tutela degli interessati.
  2. Il Garante comunica la decisione  adottata  sulla richiesta  di
autorizzazione  entro  quarantacinque  giorni,  decorsi  i quali  la
mancata  pronuncia  equivale  a  rigetto.  Con  il provvedimento  di
autorizzazione o  anche  successivamente,  sulla  base  di eventuali
verifiche, il Garante stabilisce le condizioni e le misure necessarie
ad  assicurare  adeguate  garanzie   a   tutela   degli  interessati
nell'ambito del riutilizzo dei dati, anche  sotto  il profilo  della
loro sicurezza».

La norma parla innanzitutto di “riutilizzo”, occorrerà quindi che il trattamento originario abbia un fondamento giuridico legittimante.

Ad una prima lettura risulta tuttavia non facile cogliere il senso della disposizione, perché fa riferimento a dati anonimizzati, che quindi - in quanto tali - sono fuori dall’ambito operativo delle disposizioni in materia di data protection.

Non a caso l’art. 89 del Regolamento (EU) 2016/679 (GDPR) concerne dati personali o pseudonimizzati (non anonimi o anonimizzati) e per questi prevede eccezioni.

Se dunque il riuso è subordinato alla condizione che “siano adottate  forme preventive […] di anonimizzazione”, ne consegue che questi sono dati anonimi, esclusi così dall’ambito operativo sia della normativa nazionale che di quella comunitaria. Non a caso i dati genetici sono esclusi, così come dovrebbero esserlo i biometrici per evidenti limiti di procedere all’anonimizzazione degli stessi.

Stante il testo, il senso attribuibile alla norma viene dunque ad essere quello di prevedere un intervento del Garante a garanzia dell’adozione di un livello adeguato di anonimizzazione, in linea con il GDPR, che non considera più il binomio dati personali/dati anonimi come un bianco/nero.

In termini generali, forse una simile norma avrebbe avuto miglior collocazione e più completa chiarificazione nell’atteso intervento normativo di adeguazione globale della legislazione italiana in materia.

Un saluto,

Alessandro

--
Alessandro Mantelero
Politecnico di Torino
http://staff.polito.it/alessandro.mantelero |  @mantelero

On Tue, 5 Dec 2017 18:28:05 +0100
 Stefano Leucci <stefanoleucci@gmail.com> wrote:

Ciao Monica,
assolutamente in linea con il tuo ragionamento.

Penso sia però preoccupante l'efficacia reale di queste misure viste le
grandi doti dello strumento in questione, nonchè quel principio di
"correttezza" dell'art. 5 del GDPR rimasto ancora solo sulla carta.

Rivenderanno le analisi prodotte sulla base di questi dati o saranno solo
utilizzate a meri fini scientifici? Ne beneficeremo davvero noi singoli
cittadini?

Un abbraccio a te,
Stefano



Il giorno 5 dicembre 2017 17:39, avv. Monica A. Senor <
senor@penalistiassociati.it> ha scritto:

Caro Stefano,

credo che l’autorizzazione del Garante prevista dal novello art.110 bis D.
Lgs. 196/03 sia precipuamente finalizzata a tutelare gli interessati dai
rischi che tu paventi: in tal modo le “adeguate garanzie per i diritti e le
libertà dell’interessato” di cui all’art.89 GDPR non vengono lasciate
all’interpretazione del titolare ma riservate all’occhio vigile
dell’Autorità di Controllo (in un’attività di intervento preventivo che, se
non erro, nel GDPR è ormai relegato al solo art.36 in tema di DPIA)

A ciò si aggiunge il fatto che la norma in questione prevede che il
trattamento a fini scientifici venga effettuato rispettando i principi di
minimizzazione e anonimizzazione, laddove l’art.89 prescrive, di regola,
minimizzazione e pseudonimizzazione e, solo in deroga, l’anonimizzazione.

Concordi?



Un abbraccio,

Monica

*Da:* nexa [mailto:nexa-bounces@server-nexa.polito.it] *Per conto di *Stefano
Leucci
*Inviato:* martedì 5 dicembre 2017 17:14
*A:* NEXA_lista
*Oggetto:* Re: [nexa] R: Repubblica: "Dati sanitari alle multinazionali,

senza consenso: passa la norma in Italia"



Lucidissimo punto di vista.

Mi interessa molto il rischio di "function creep" o di "repurposing". In
altre parole, delle tentazioni nelle mani di chi gestisce quei dati.

A lor favore, ad Abilitando (http://abilitando.it/2017/) sono emersi gli
infiniti benefici dell'analisi massiva di questi dati tramite Watson
Health. E chiaramente la norma apre (già in linea con GDPR) ad IBM come a
tanti altri concorrenti.



Speriamo comunque che il Garante mantenga il suo occhio (sempre più)
attento su questi soggetti.



Il giorno 5 dicembre 2017 16:48, avv. Monica A. Senor <
senor@penalistiassociati.it> ha scritto:

IMHO è un'anticipazione di quanto previsto dagli artt.5, 1° co., lett.b),
9, 2° co. lett.j) e 89 GDPR.
Cosa mi sfugge?
Lo chiedo senza alcuna vena polemica, davvero solo per capire.

Un caro saluto a tutti,
Monica

-----Messaggio originale-----
Da: nexa [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Marco
Ciurcina
Inviato: martedì 5 dicembre 2017 16:29
A: nexa@server-nexa.polito.it
Oggetto: Re: [nexa] Repubblica: "Dati sanitari alle multinazionali, senza
consenso: passa la norma in Italia"

Da portare alla Corte Costituzionale.
m.c.



In data martedì 5 dicembre 2017 16:04:35 CET, J.C. DE MARTIN ha scritto:
> *Dati sanitari alle multinazionali, senza consenso: passa la norma in
> Italia**
> *
> /Compare a sorpresa nella legge europea 2017, pubblicata il 28
> novembre in Gazzetta Ufficiale, la possibilità di usare i dati
> personali degli italiani, senza consenso, a scopo di ricerca
> scientifica. In ballo ci sono grossi interessi delle multinazionali
> tecnologiche, come risulta dal recente accordo tra il Governo e Ibm//
> / di ALESSANDRO LONGO
>
> […]
>
> Continua qui:
> http://www.repubblica.it/economia/2017/12/05/news/dati_sanitari_alle_m
> ultina zionali_senza_consenso_passa_la_norma-183005262/



_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

--
Prof. Avv. Alessandro Mantelero
Politecnico di Torino

Computer Law and Security Review | Member of the Editorial Board
European Data Protection Law Review | Associate Editor

http://staff.polito.it/alessandro.mantelero |  @mantelero

EMAIL POLICY: once a day (Mon-Fri)

"In libertate fortitudo"

________________________________________
Le informazioni trasmesse sono indirizzate esclusivamente alla persona o al soggetto destinatario e sono da intendersi confidenziali e riservate. Ogni trasmissione, inoltro, diffusione o altro uso di queste informazioni a terzi differenti dal destinatario è proibita. Se ricevete questa comunicazione per errore, contattate il mittente e cancellate le informazioni da ogni computer.

The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer.

_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa